Uit een recent onderzoek is gebleken dat de cyberbeveiligingsapplicatie Clean Master van het Chinese Cheetah Mobile meer gebruikersgegevens heeft geregistreerd dan waarschijnlijk zou moeten. Hoewel de applicatie antivirusbescherming en privébrowsing belooft, zou de app online browsen, zoekopdrachten en de naam van elk Wi-Fi-toegangspunt waarmee het apparaat verbinding maakt, hebben geregistreerd.

Het rapport is slechts de laatste in een reeks van controverses voor het bedrijf en de app. In 2014 werd ontdekt dat advertenties die Clean Master promoten probeerden gebruikers bang te maken om de app te downloaden met pop-ups die hen vertelden dat een virus hun apparaat had geïnfecteerd. In 2018 werd het bedrijf beschuldigd van het uitvoeren van advertentiefraude, wat ertoe leidde dat Google alle applicaties van Cheetah Mobile uit de Play Store verwijderde. Hoe dan ook, de app bleef actief en populair, in het bezit van meer dan een miljard installs voordat het werd verbannen.

Een recente studie, uitgevoerd door onderzoeker Gabi Cirli van het cyberbeveiligingsbedrijf White Ops, onthulde dat Cheetah gegevens had verzameld via zijn applicaties, Security Master, Clean Master, CM Browser, en CM Launcher. “Technisch gesproken hebben ze een privacybeleid dat zo’n beetje alles dekt en hen een blanco cheque geeft om alles te exfiltreren,” vertelde Cirlig aan Forbes. Hij voegde eraan toe dat, hoewel het onduidelijk is of Cheetah’s acties strafbaar zijn, ze dicht bij het overschrijden van een duidelijke lijn zijn.

Cheetah’s Gray Area Of Operation

Cheetah gaf toe aan de claims, maar voegde eraan toe dat het niet van plan was om gegevens te gebruiken om de privacy van gebruikers in gevaar te brengen. Het bedrijf zegt dat het hoofdkantoor weliswaar in Beijing (China) is gevestigd, maar dat het de gegevens die het verzamelt naar een afgelegen Amazon Web Services-systeem stuurt. Opereren in een vreemd land, met producten die alleen via internet toegankelijk zijn, resulteert in een groot grijs gebied. Google heeft de toepassingen van het bedrijf verwijderd op grond van zijn beleid, niet dat van een bestuursorgaan. Evenzo bestraft de Amerikaanse Patriot Act alleen ongeoorloofde toegang tot een computer. Juridisch kan wat Cheetah heeft gedaan worden geïnterpreteerd als niet verschillend van de acties van Facebook, een bedrijf dat door Californië werd aangeklaagd wegens privacyschendingen. Een groot verschil is dat Facebook een in Amerika gevestigd bedrijf is, terwijl Cheetah dat niet is.

Door middel van zijn toepassingen heeft Cheetah catalogi van gebruikersgegevens gemaakt en wel tot het punt waar, indien onversleuteld, het gemakkelijk zou zijn om gebruikers te identificeren. Hoewel Cheetah beweert zich te houden aan de lokale privacywetten, is de locatie in China reden tot bezorgdheid. De regering van het Chinese vasteland eist dat alle bedrijven die binnen haar grenzen opereren in staat zijn om informatie te delen, indien daarom wordt gevraagd. Hoewel het onduidelijk blijft of China iets met deze gegevens zou doen (of ze zelfs zou willen), blijft de mogelijkheid bestaan, vanwege de plaats van waaruit Cheetah opereert.